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Beschreibung 

Verfahren zum Signieren von Daten 

5 Die Erfindung betrifft ein Verfahren zum Signieren von Daten 
durch verschiedene Nutzer. Die Erfindung betrifft aufierdem 
eine Datenverarbeitungseinrichtung zur Durchfuhrung des Ver- 
fahrens sowie ein Speichermedium, auf dem Inf ormationen zur 
Durchfuhrung des Verfahrens auf einer Datenverarbeitungsein- 
10 richtung gespeichert sind. 

Die zunehmende Nutzung elektronischer Daten und Kommunikati- 

9 

onswege bringt standig wachsende Anf orderungen an Mechanismen 
zur nachtraglichen Nachvollziehbarkeit von Datenzugrif f en mit 

15 sich. Gleichzeitig soil jedoch eine moglichst einfache, be- 

queme und unaufwandige Zugreifbarkeit der Daten gewahrleistet 
sein. Insbesondere aufgrund der zunehmenden gegenseitigen 
Vernetzung und der haufig groften Anzahl verschiedener Nutzer, 
die elektronischen Zugang zu den selben Daten erlangen kon- 

20 nen, sind wirksame elektronische oder sof tware-basierte Doku- 
mentations-Mechanismen unerlasslich geworden, urn anonyme Ma- 
nipulation oder Einsichtnahme zu verhindern. 

Aufgrund der vielfaltigen Zugrif f smoglichkeiten und aufgrund 



£ f 5 der Tatsache, dass elektronische Datenzugrif fe nicht ohne 



weiteres auf real existierende Personen zurtickgef tihrt werden 
konnen, ist es er f orderlich, samtliche Datenzugrif fe unter 
TVngabe einer Signatur des Zugreifenden zu speichern und damit 
zu dokumentieren. Die Dokumentation von Datenzugrif fen durch 
30 real existierende Nutzer erfolgt durch Verwendung einer Nut- 
zer-individuellen Signatur, die ausschliefilich dem jeweiligen 
Nutzer zur Verfugung steht und zu deren Verwendung dieser 
sich authentif izieren muss. 




35 



Die Dokumentation von Zugriffen auf elektronische Daten 
spielt bei personenbezogenen Daten wie Adresslisten oder Kun- 
dendaten, bei Daten im Finanzwesen und insbesondere bei Daten 
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im Gesundheitswesen eine besonders wichtige Rolle. Im Gesund- 
heitswesen, wo strengste Anf orderungen an die Datensicherheit 
gestellt werden, fordern Datenschutzbestimmungen, dass jeder 
Nutzer von Daten eindeutig identif iziert und authentif iziert 
5 wird. Dabei bedeutet Identif izierung, dass jeder Datenzugriff 
bzw. jede Aktion eindeutig mit dem ausflihrenden Nutzer, also 
mit einer real existierenden Person, in Verbindung gebracht 
und mit einer elektronischen Signatur dieser Person zur nach- 
traglichen Rekonstruierbarkeit dokumentiert wird, Authentifi- 
10 zierung bedeutet, dass die Authentif izierung eines Nutzer ei- 
gens geprilft wird und nur authentif izierten Nutzer uberhaupt 
eine Signatur zugeteilt werden kann. Die Funktion der Doku- 




mentation wird im Gesundheitswesen auch auditing* genannt, 



die Funktion der Authentif izierung auch ^access control* . 

15 

Elektronische Daten konnen mehreren, verschiedenen Nutzern 
zur Verfugung stehen. Dies kann z.B. bei der Verwaltung von 
Kundendaten durch die Angestellten einer Bank der Fall sein, 
bei Personaldaten in Personalabteilungen, bei der gemeinsamen 

20 Nutzung von Daten in Entwicklungs-Teams oder bei Daten im Ge- 
sundheitswesen, die Teams von behandelnden Arzten oder einem 
bestimmten Kreis medizinischen Fachpersonals zuganglich sein 
sollen. Sind mehrere Nutzer zur gemeinsamen Nutzung der sel- 
ben Daten vorgesehen, so gehoren sie diesbezliglich der selben 
J5 Rolle an. Die gemeinsame Rollen-Zugehorigkeit spiegelt sich 
in den bekannten, nutzer-individuellen Signaturen nicht wie- 
der. Insofern lasst sich die Rollen-Zugehorigkeit nicht mit- 
tels herkommlicher Signaturen abbilden und muss, falls sie 
zur spateren Rekonstruierbarkeit dokumentiert werden soil, in 

30 geeigneter Weise eigens gespeichert und archiviert werden. 
Dies verkompliziert die fur das „auditing* er f orderlichen 
SpeichermaJJnahmen erheblich. Auch die spatere Rekonstruktion 
von Datenzugriff en und deren Zuordnung zu Rollen-Zugehorigen 
ist dadurch umstandlich. 

35 



Die Aufgabe der Erfindung besteht darin, die Verwendung von 
elektronischen Signaturen zu vereinfachen und gleichzeitig 
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eine vollstandig nachtraglich rekonstruierbare Dokumentation 
von Datenzugrif f en verschiedener Nutzer und verschiedener 
Rollen-Zugehoriger auf gemeinsam genutzte elektronische Daten 
zu gewahrleisten . 

5 

Die Erfindung lost diese Aufgabe durch ein Verfahren gemaii 
dem 1. Patentanspruch, durch eine Datenverarbeitungseinrich- 
tung mit den Merkmalen des 9. Patentanspruchs und durch ein 
Speichermedium gemaB dem 16, Patentanspruch, 

10 

Ein Grundgedanke der Erfindung besteht darin, vor dem Signie- 
ren von Zugriffen auf elektronische Daten zunachst eine Si- 

^ cherheitsabf rage zur Ermittlung der Identitat eines Nutzers 
durchzuf uhren, und dem Nutzer in Abhangigkeit vom Ergebnis 

15 dieser Sicherheitsabf rage eine eindeutige Nutzer-Signatur und 
zusatzlich eine Rollen-Signatur zuzuteilen, wobei die Rollen- 
Signatur mehreren, verschiedenen Nutzern zugeteilt werden 
kann. Das Signieren von Daten-Zugrif f en erfolgt unter Angabe 
der Nutzer-Signatur und zusatzlich der Rollen-Signatur. Weder 

20 die Nutzer-Signatur noch die Rollen-Signatur sind fur den 
Nutzer einsehbar. 

Durch die Signierung von Datenzugrif fen unter Angabe sowohl 
der Nutzer- als auch der Rollen-Signaturen ergibt sich der 

2.5 Vorteil, dass alle Inf ormationen zur spateren Rekonstruktion 
der Identitat und der Rolle eines Datenzugreif enden zum Zeit- 
punkt des Datenzugrif fs durch die Signatur gegeben sind. Dar- 
uber hinaus sind die Signaturen weitestgehend sicher vor Ma- 
nipulationen, da sie in Abhangigkeit von einer Sicherheitsab- 

30 frage zugeteilt werden und fiir den Nutzer nicht einsehbar und 
deshalb nicht durch ihn missbrauchbar sind. Ein weiterer Vor- 
teil besteht darin, dass das Verfahren vom Nutzer lediglich 
eine Sicherheitsabf rage erfordert, im ubrigen aber fiir den 
Nutzer grundsatzlich unbemerkt ablauft, und daher besonders 

35 einfach und unaufwandig handhabbar ist. 
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In einer vorteilhaf ten Ausgestaltung der Erfindung erfolgt 
die Sicherheitsabf rage durch biometrische Ermittlung von Nut- 
zer-Daten, wie z.B. die Erfassung der Gestalt der Iris oder 
des Fingerabdrucks . Dadurch ergibt sich der Vorteil, dass ei- 
5 ne besonders hohe Tauschungssicherheit erzielt wird, ohne vom 
Nutzer zusatzlichen Aufwand wie z.B. das Memorieren eines 
Passwortes zu erfordern. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
10 erfolgt die Ermittlung der Nutzer-Signatur durch Abfrage ei- 
nes Nutzer-Signatur-Speichers, der raumlich entfernt angeord- 
net ist. Dadurch ergibt sich der Vorteil, dass der Nutzer- 
*^ Signatur-Speicher durch eine eigens dafur vorgesehene Admi- 
nistration gepflegt und mittels besonders restriktiver 
15 Schutzmafinahmen, z.B. Firewalls, geschtitzt werden kann, denen 
der Arbeitsplatz des Nutzers nicht zu unterliegen braucht . 
Ebenso kann der Rollen-Signatur-Speicher raumlich entfernt 
angeordnet werden, urn die gleichen Vorteile zu erzielen, wo- 
bei er zusammen mit oder getrennt von dem Nutzer-Signatur- 
20 Speicher angeordnet sein kann. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt 
sich dadurch, dass jedem Nutzer zwar nur eine Nutzer- 
/ Signatur, jedoch mehrere Rollen-Signaturen gleichzeitig zuge- 

ordnet werden konnen. Dies spiegelt die tatsachlichen Rollen- 
Zugehorigkeiten wieder, da ein Nutzer z.B. in mehreren Funk- 
tionen oder als Mitglied mehrerer Teams, die jeweils eigene 
Rollen darstellen, tatig sein kann. Aus der Moglichkeit, meh- 
reren Rollen-Signaturen anzugehoren, ergibt sich der Vorteil, 
30 dass die realen Rollen-Zugehorigkeiten vollstandig durch die 
Signaturen abgebildet werden konnen. 

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand 
der abhangigen Patentansprtiche . 

35 

Nachfolgend werden Ausf uhrungsbeispiele der Erfindung anhand 
von Figuren naher erlautert. Es zeigen: 
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FIG 1 Flussdiagramm mit den zur Ausfuhrung der Erfindung 

erf order lichen Verf ahrensschritten, 

FIG 2 zur Ausfuhrung der Erfindung geeignete Systemarchi- 

tektur . 

Figur 1 zeigt die Verf ahrensschritte, die zur Ausfuhrung der 
Erfindung erforderlich sind. 

In Schritt 1 wird die Datenverarbeitungseinrichtung 50, die 
z.B. ein medizinischer Computer-Arbeitsplat z sein kann, ge- 
startet. Dabei erfolgt das ubliche Starten eines Betriebssys- 
tems und die Anmeldung daran. Das Verfahren zum Signieren ge- 
mafi der Erfindung verlauft jedoch unabhangig von einer sol- 
chen Anmeldung am Betriebssystem. 

In Schritt 3 wird das Signatur-Tool 51 im Anschluss an das 
Hochfahren des Betriebssystems gestartet. Das Signatur-Tool 
51 muss nicht mit jedem Hochfahren des Betriebssystems ge- 
startet werden, es ist jedoch sichergestellt , dass es vor 
jeglichem Datenzugriff auf Applikationsdaten des Arbeitsplat- 
zes gestartet wird. Bei den Applikationsdaten kann es sich 
z.B. um diagnostische Aufnahmen, medizinische Befunde, Per- 
sonlichkeitsinf ormationen von Patienten, aber auch um for- 
schungsrelevante Inhalte, demographische Inf ormationen oder 
um Finanzinf ormationen handeln. Bei all diesen Beispielen 
handelt es sich um kritische Daten, deren Zugriffe in beson- 
derer Weise zu dokumentieren sind. 

In Schritt 5 erfolgt eine Sicherheitsabf rage, mittels derer 
ein Nutzer identif iziert werden soli. Dazu werden vom Nutzer 
personen-individuelle Daten erfragt, die alien Anf orderungen 
an die Datensicherheit genugen mussen. Vorzugsweise wird dazu 
ein Sicherheitsabf rage-Mittel 59 angesprochen, durch das eine 
biometrische Erfassung von charakteristischen und moglichst 
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tauschungssicheren Daten wie Fingerabdruck oder Gestalt der 
Iris erfolgt. Daneben besteht die Moglichkeit, dass das Si- 
cherheitsabf rage-Mittel 59 eine elektronische Chipkarte oder 
einen elektronischen oder mechanischen Schlussel ausliest. 
Durch die Sicherheitsabf rage wird den Anf orderungen an die 
Authentif izierung Rechnung getragen. 

In Schritt 6 besteht die Moglichkeit, das Verfahren nach 
Fehlschlagen der Sicherheitsabf rage abzubrechen, urn einem er- 
hohten Bedurfnis nach Datensicherheit gerecht zu werden. 

In Schritt 7 wird ein Nutzer-Signatur-Speicher 61 abgefragt. 
Im Nutzer-Signatur-Speicher 61 sind Inf ormationen abgelegt, 
mittels derer ein Nutzer anhand der in der vorangegangenen 
Sicherheitsabf rage ermittelten Daten als real existierende 
Person identif iziert werden kann. Die Nutzer-Signatur konnte 
zum Beispiel einer tabellarischen Zuordnung zwischen Signatu- 
ren und Sicherheitsabf rage-Daten zu entnehmen sein, oder ei- 
ner Zuordnung zu im Ergebnis der Sicherheitsabf rage identifi- 
zierten real existierenden Personen. 

In Schritt 9 wird im Ergebnis der vorangegangen Abfrage des 
Nutzer-Signatur-Speichers 61 eine Nutzer-Signatur ermittelt. 
Der Grad der Tauschungssicherheit bei der Ermittlung der Nut- 
zer-Signatur hangt im wesentlichen von der Tauschungssicher- 
heit der vorangegangenen Sicherheitsabf rage sowie der Manipu- 
lierbarkeit des Nutzer-Signatur-Speichers 61 ab. 

In Schritt 11 wird die vorangehend ermittelte Nutzer-Signatur 
dem aktuellen Nutzer zugeteilt und steht ab sofort zur Sig- 
nierung von Aktionen des Nutzers zur Verfiigung. Die Zuteilung 
erfolgt fur den Nutzer grundsatzlich unbemerkbar , insbesonde- 
re wird keinerlei Moglichkeit zur Einsichtnahme in die Signa- 
tur gegeben. Dadurch wird der Nutzer zum einen nicht mit fur 
ihn unwichtigen Inf ormationen belastet, zum anderen wird 
durch die Unkenntnis verhindert, dass er die Signatur miss- 
brauchlich einsetzen kann. 
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In Schritt 13 wird ein Rollen-Signatur-Speicher 63 abgefragt. 
Im Rollen-Signatur-Speicher 63 sind Inf ormationen abgelegt, 
mittels derer eine sogenannte Rolle anhand der in der voran- 
5 gegangenen Sicherheitsabf rage ermittelten Daten identif iziert 
werden kann. Dazu konnte zum Beispiel auf eine tabellarische 
Zuordnung zwischen Rollen und Sicherheitsabf rage-Daten zuge- 
griffen werden. Statt einer Zuordnung zu Sicherheitsabf rage- 
Daten konnte auch eine Zuordnung zu Nutzer-Signaturen oder zu 
10 im Ergebnis der Sicherheitsabf rage identif izierten real exis- 
tierenden Personen verwendet werden. 



Mit Rolle ist Zugehorigkeit zu einem bestimmten Tatigkeits- 
kreis mit einer bestimmten Verantwortlichkeit gemeint, z.B. 
15 „Diensthabender Arzt* , „Medizinisch-technischer Assistent*, 
„Behandelndes Team* , ^System-Administrator^ , „Personalabtei- 
lung* oder „Pro j ektleiter* . 

Die Rollen-Zugehorigkeit kann sich entweder ob j ektbezogen er- 
20 geben, d.h. aus dem Bedlirfnis bestimmter Nutzer, mit einem 

bestimmten Datenbestand arbeiten zu konnen, oder subj ektbezo- 
gen, d.h. aus einer hierarchischen Einstufung des jeweiligen 
Nutzer, aufgrund derer er auf Daten einer bestimmten Einstu- 
fung zugreifen darf . AuBerdem kann ein Nutzer mehreren Rollen 
angehoren, die z.B. verschiedene „Behandelnde Teams* repra- 
sentieren, in denen der Nutzer gleichzeitig mitarbeitet. In 
solchen Fallen konnte der Nutzer entweder eine einzige Rol- 
len-Signatur zugeteilt bekommen, die alle Rollen- 
Zugehorigkeiten reprasentiert , oder er konnte mehrere Rollen- 
30 Signaturen gleichzeitig zugeteilt bekommen. 

In Schritt 15 wird im Ergebnis der vorangegangen Abfrage des 
Rollen-Signatur-Speichers 63 eine Rolle oder gegebenenf alls 
eine Mehrzahl von Rollen ermittelt. 

35 
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In Schritt 17 wird im Ergebnis der Ermittlung einer oder meh- 
rerer Rollen eine oder gegebenenf alls eine Mehrzahl von zuge- 
horigen Rollen-Signaturen ermittelt. 

Die Aufteilung der vorangegangenen Schritt 15 und 17 spiegelt 
ein Vorgehen bei der Ermittlung von Rollen und Rollen- 
Signaturen wieder, bei dem zunachst aufgrund der Erfordernis- 
se das Arbeitsumf eldes Rollen und Rollen-Zugehorigkeiten de- 
finiert und anschliefiend fur diese Rollen elektronische Sig- 
naturen definiert werden. Die Schritte 15 und 17 konnten je- 
doch auch in einen einzigen Schritt integriert werden, indem 
auf den Zwischenschritt der Ermittlung einer oder mehrerer 
Rollen verzichtet wird und stattdessen Rollen-Signaturen so- 
fort ermittelt werden. 

In Schritt 19 wird die vorangehend ermittelte Rollen-Signatur 
oder die Mehrzahl von Rollen-Signaturen dem aktuellen Nutzer 
zugeteilt und steht ab sofort zur Signierung von Aktionen des 
Nutzers zur Verfligung. Die Zuteilung erfolgt, wie oben erlau- 
tert, fur den Nutzer grundsatzlich unbemerkbar, insbesondere 
erhalt er keinerlei Moglichkeit zur Einsichtnahme in die Sig- 
natur . 

In Schritt 21 werden Aktionen sowohl mit der zugeteilten Nut- 
zer-Signatur als auch mit der oder den zugeteilten Rollen- 
Signaturen signiert. Die mehrfache Signierung erlaubt die 
vollstandige nachtragliche Rekonstruierung aller signierten 
Datenzugrif f e in Zuordnung sowohl zu einer real existierenden 
Person als auch in Zuordnung zu deren jeweils aktueller Rol- 
len-Zugehorigkeit . Dadurch wird den Anf orderungen an das Au- 
diting von Datenzugrif fen geniige getan, ohne dass zum Bei- 
spiel zusatzliche Inf ormationen wie in der Vergangenheit lie- 
gende Dienstplane abgefragt werden miissten, urn die ehemaligen 
Rollen-Zugehorigkeiten von Personen nachtraglich zu rekon- 
struieren . 
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In Figur 2 ist eine elektronische Datenverarbeitungseinrich- 
tung 50 dargestellt , die das Verfahren zur Ausfuhrung der Er- 
findung ausfiihren kann. Die Datenverarbeitungseinrichtung 50 
weist eine Tastatur 55 oder ein sonstiges Eingabegerat sowie 
5 einen Bildschirm 53 auf. Je nach Art der Anwendung konnen 

auch akustische Ein- und Ausgangssignale verarbeitet werden. 
Art und Umfang der Ein- und Ausgabegerate sind fiir die Aus- 
fuhrung der Erfindung nicht von Belang. Bei der Datenverar- 
beitungseinrichtung 50 kann es sich sowohl urn einen medizini- 
10 schen Arbeitsplatz, z.B. eine sogenannte Modalitat, als auch 
urn einen beliebigen anderen Bildschirmarbeitsplatz, z.B. ein 
Bankterminal, handeln. 

Die Datenverarbeitungseinrichtung 50 weist ein Signatur-Tool 
15 51 auf . Das Signatur-Tool 51 kann modular in die Datenverar- 
beitungseinrichtung 50 integrierbar sein, z.B. als einsteck- 
bare Karte oder als Computer-Programm. Ober das Signatur-Tool 
51 hat die Datenverarbeitungseinrichtung 50 Zugriff auf einen 
Applikationsdaten-Speicher 57, der der Speicherung von Anwen- 
2 0 dungs-Daten dient. 

Das Signatur-Tool 51 und die Datenverarbeitungseinrichtung 50 
sind derart konzipiert, dass ein Zugriff auf den Applikati- 
onsdaten-Speicher 57 ausschliefilich uber das Signatur-Tool 51 
erfolgen kann. Dadurch ist sichergestellt , dass jeglicher Da- 
tenzugriff ohne Umgehungsmoglichkeit durch das Signatur-Tool 
51 dokumentiert und signiert wird. Dadurch sind Manipulation 
oder Missbrauch durch Umgehen des Signiervorgangs weitestge- 
hend unmoglich. 

30 

Das Signatur-Tool 51 ist mit einem Sicherheitsabf rage-Mittel 
59 verbunden, das der Ermittlung von Daten zur Identif ikation 
des jeweiligen Nutzers dient. Das Sicherheitsabf rage-Mittel 
59 kann ein Chipkartenleser sein, der eine Nutzer- 
35 individuelle Chipkarte ausliest. Es kann auch ein mechani- 
sches oder elektronisches Schloss sein, das einen Nutzer- 
individuellen Schlussel ausliest. Nicht zuletzt kann es ein 
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Sensor zur Ermittlung biometrischer Daten des Nutzers sein, 
die beispielsweise die Gestalt von dessen Iris, dessen Finge- 
rabdriicke oder dessen Sprach-Frequenzspektrum misst. Die Ver- 
wendung biometrischer Daten im Rahmen der Sicherheitsabf rage 
weist den Vorteil auf, dass keinerlei Schlussel oder Karte 
verwendet werden muss, die der Nutzer verlieren oder die ihm 
entwendet werden konnten. Dariiber hinaus ist die Tauschungs- 
sicherheit biometrischer Daten hoher einzuschat zen als die 
von sonstigen Schliisselsystemen . 

Das Signatur-Tool 51 hat weiter Zugriff auf einen Nutzer- 
Signatur-Speicher 61, der Inf orraationen zur Identif ikation 
von Nutzern anhand der durch das Sicherheitsabf rage-Mittel 59 
ermittelten Daten enthalt. Diese Inf ormationen ermoglichen 
es, eine Nutzer-Signatur zu ermitteln, z.B. aufgrund tabella- 
rischer Zuordnungen zwischen Sicherheitsabf rage-Daten und 
Signaturen. Aufierdem kann der jeweilige Nutzer anhand dieser 
Inf ormationen als real existierende Person identif iziert wer- 
den. 

Das Signatur-Tool 51 hat aufierdem Zugriff auf einen Rollen- 
Signatur-Speicher 63, der Inf ormationen zur Ermittlung einer 
oder mehrerer Rollen-Signaturen anhand der durch das Sicher- 
heitsabf rage-Mittel 59 ermittelten Daten enthalt. Diese In- 
formationen ermoglichen es, eine Rollen-Signatur zu ermit- 
teln, z.B. aufgrund tabellarischer Zuordnungen von Rollen- 
Signaturen zu Sicherheitsabf rage-Daten, zu real existierenden 
Personen oder zu Nutzer-Signaturen. 

Fur die Signatur-Speicher 61, 63 gelten besondere Sicher- 
heitsanf orderungen, die eine entfernt angeordnete, zentrale 
Aufstellung dieser Speicher sinnvoll machen konnen. Zu diesem 
Zweck sind sie unabhangig von der Datenverarbeitungseinrich- 
tung 50 und dem Signatur-Tool 51 positionierbar und konnten 
beispielsweise auch uber geschtitzte Datenf ernverbindungen zu- 
greifbar sein. Mit Datenf ernverbindung kann eine kabellose 
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Oder kabelgebundene Modem- Verbindung ebenso wie z.B. eine In- 
ternet- Oder Intranet-Verbindung gemeint sein. 

Die unabhangige Positionierung der Signatur-Speicher 61, 63 
5 ermoglicht zum einen deren Zugreifbarkeit auch fur weitere, 
andere Datenverarbeitungseinrichtungen oder Signatur-Tools . 
Zum anderen ermoglicht sie die Einrichtung strengerer Sicher- 
heitsvorkehrungen speziell fur die Signatur-Speicher 61, 63 
im Vergleich zur Datenverarbeitungseinrichtung 50, z.B. eines 
10 besonders restriktiven Fire-Walls. 

/' / Die Verwendung von zwei getrennten Signatur-Speichern 61, 63 
~- verleiht dem Signierungs-System einen modularen Aufbau mit 

grofltmoglicher Flexibilitat . Dadurch konnen in den Signatur- 

15 Speichern 61, 63 jederzeit weitgehend unabhangig voneinander 
Anderungen vorgenommen werden. Im Nut zer-Signatur-Speicher 61 
konnen die zur Identif ikation des Nutzers verwendeten, si- 
cherheitskritischen Inf ormationen regelmaiiig geandert werden, 
in Anlehnung an die getrennte Aufstellung zentraler Trust- 

20 Center. Im Rollen-Signatur-Speicher 63 konnen Anderungen der 
Rollen-Zugehorigkeit vorgenommen werden, die die Veranderun- 
gen in der Zugehorigkeit realer Personen zu Teams oder Ver- 
antwortlichkeiten wiederspiegeln . 

/ 

/ 

Vorangehend wurde das Signierungs-System auf Basis der Ver- 
wendung von zwei unterschiedlichen Signatur-Speichern 61, 63 
beschrieben. Diese zwei Speicher reprasentieren die logischen 
Zuordnungen von Inf ormationen, die im Ablauf des Signierungs- 
Verfahrens getroffen werden. Zum ersten muss der Nutzer bzw. 
30 dessen Nutzer-Signatur im Ergebnis der Sicherheitsabf rage i- 
dentifiziert werden, zum zweiten muss er einer Rolle zugeord- 
net bzw. eine Rollen-Signatur ermittelt werden. 

Obwohl der modulare Aufbau die tatsachlichen logischen Zuord- 
35 nungen korrekt reprasentiert , ware es jedoch selbstverstand- 
lich moglich, stattdessen einen einzigen, integrierten Signa- 
tur-Speicher zu verwenden. Dieser einzige Signatur-Speicher 
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konnte je nach den sonstigen Anf orderungen getrennt angeord- 
net oder in das Signatur-Tool 51 oder die Datenverarbeitungs- 
einrichtung 50 integriert sein. 

5 Wesentlich ist jedoch, dass die Sicherheitsabf rage durch das 
Sicherheitsabf rage-Mittel 59 keinen Ruckschluss auf die zuzu- 
teilenden Signaturen gestattet, die zur Signierung von Nut- 
zer-Aktionen verwendet werden. Dies ist Garant dafiir, dass 
die verwendete Signatur nicht manipulierbar und zuverlassig 
10 ist. 

Das Signatur-Tool 51 dokumentiert jeglichen Zugriff auf Ap- 
plikationsdaten bzw. den Applikationsdaten-Speicher 57 unter 
Angabe der Nutzer-Signatur und zusatzlich der Rollen- 
Signatur. Sind mehrere Rollen-Signaturen zugeteilt, so werden 
auch diese zu Dokumentationszwecken angegeben. Samtliche Sig- 
naturen werden durch das Signatur-Tool 51 zusammen mit Infor- 
mationen liber die zugegrif f enen Daten und iiber die Art des 
Datenzugrif f s gespeichert. Dadurch kann jederzeit im Nachhi- 
nein rekonstruiert werden, wer in welcher Weise auf welche 
Daten zugegrif fen hat. Daruber hinaus kann die jeweils aktu- 
elle Rolle des Datenzugreif enden anhand der Rollen-Signatur 
bzw. -Signaturen festgestellt werden, ohne dass dazu weitere 
Inf ormationen, z.B. archivierte Dienstplane oder Anwesen- 
heitslisten, eingeholt werden mlissten. Durch die Sicherheits- 
abfrage 5 ist dabei jederzeit sichergestellt , dass die zur 
Dokumentation verwendeten Signaturen korrekt zugeteilt wer- 
den. 

30 Daruber hinaus erhalt der Nutzer keinerlei Einsicht in die 
durch das Signatur-Tool 51 verwendeten Signaturen. Dadurch 
werden die Moglichkeiten zu Missbrauch und Manipulation der 
Signatur-Daten weitestgehend vermieden. Daruber hinaus wird 
der Nutzer mit dem Zuteilen der Signaturen nicht weiter kon- 

35 frontiert und erfahrt das Arbeiten des Signatur-Tools 51 als 
unaufwandig und einfach handhabbar. 
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Die Dokumentation der Datenzugrif f e durch das Signatur-Tool 
51 erfolgt grundsatzlich zusammen mit den zugegrif f enen Ap- 
plikationsdaten im Applikationsdaten-Speicher 57. Zusatzlich 
kann ein Audit-Speicher 65 zur getrennten Dokumentation aller 
Nutzer-Aktionen vorgesehen sein. Dadurch wird die Moglichkeit 
geschaffen, im Audit-Speicher 65 z.B. lediglich die Art der 
Datenzugrif fe sowie die Signaturen zu speichern, auf die 
Speicherung der moglicherweise sehr umf anglichen Applikati- 
onsdaten jedoch zu verzichten. Insbesondere medizinische 
Bilddaten weisen haufig einen betrachtlichen Speicherumf ang 
auf, der eine Auslagerung in Archivsysteme erforderlich ma- 
chen kann. Der getrennte Audit-Speicher 65 kann in solchen 
Fallen dazu dienen, eine arbeitsplatz-spezif ische Anwendungs- 
historie auf zuzeichnen, um neben Zugriffen auf die Applikati- 
onsdaten auch die Benutzung des jeweiligen Arbeitsplat zes 
nachtraglich rekonstruierbar zu dokumentieren, ohne jedoch 
die gesamten speicherintensiven Anwendungsdaten speichern zu 
muss en. 
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Patentansprliche 

1. Verfahren zum Signieren von Zugriffen auf elektronische 
Daten, wobei in einem ersten Schritt (5) eine Sicherheitsab- 
frage zur Ermittlung der Identitat eines Nutzers durchgefiihrt 
wird, wobei in einem zweiten Schritt (11) in Abhangigkeit vom 
Ergebnis der Sicherheitsabf rage eine den Nutzer eindeutig i- 
dentif izierende Nutzer-Signatur fiir den Nutzer nicht einseh- 
bar zuteilbar ist, wobei in einem dritten Schritt (19) in Ab- 
hangigkeit vom Ergebnis der Sicherheitsabf rage eine Rollen- 
Signatur fiir den Nutzer nicht einsehbar zuteilbar ist, die 
mehreren Nutzern zuteilbar ist, und wobei in einem vierten 
Schritt (21) ein Zugriff auf elektronische Daten unter Angabe 
der Nutzer-Signatur und der Rollen-Signatur signierbar ist. 

2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, dass in der Si- 
cherheitsabf rage biometrische Daten des Nutzers ermittelt 
werden . 

3. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass in der 
Sicherheitsabf rage ein elektronischer und/oder mechanischer 
Schlussel ausgelesen wird. 

4. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die zu- 
zuteilende Nutzer-Signatur anhand der in der Sicherheitsab- 
frage ermittelten Daten durch Abfrage eines Nutzer-Signatur- 
Speichers (61) ermittelbar ist. 

5. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die zu- 
zuteilende Rollen-Signatur anhand der in der Sicherheitsab- 
frage ermittelten Daten durch Abfrage eines Rollen-Signatur- 
Speichers (63) ermittelbar ist. 



200210280 



15 

6. Verfahren nach Anspruche 4 oder 5, 

dadurch gekennzeichnet, dass die Abfra- 
ge des Nutzer-Signatur-Speichers (61) und/oder des Rollen- 
Signatur-Speichers (63) uber eine Datenf ernverbindung er- 
5 folgt. 

7. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass einem Nut- 
zer mehrere Rollen-Signaturen gleichzeitig zuteilbar sind. 

10 

8. Verfahren nach einem der vorhergehenden Anspruche, 




dadurch gekennzeichnet, dass die Daten 
medizinisch relevant sind, dass die Nutzer medizinisches 



Fachpersonal sind, und dass die Rollen entsprechend den Ar- 
15 beits-Gruppen innerhalb des medizinischen Fachpersonals ge- 
bildet werden. 

9. Datenverarbeitungseinrichtung (50) mit einem Signatur-Tool 
(51) und einem Sicherheitsabf rage-Mittel (59), wobei vor ei- 

20 nem Zugriff der Datenverarbeitungseinrichtung (50) auf Appli- 
kationsdaten durch das Sicherheitsabf rage-Mittel (59) eine 
Sicherheitsabf rage zur Ermittlung der Identitat eines Nutzers 
durchfuhrbar ist, wobei durch das Signatur-Tool (51) in Ab- 
hangigkeit von einem Ausgangssignal des Sicherheitsabf rage- 

£.5-^ Mittels (59) eine den Nutzer eindeutig identif izierende Nut- 
zer-Signatur fur den Nutzer nicht einsehbar zuteilbar ist, 
wobei durch das Signatur-Tool (51) in Abhangigkeit von einem 
Ausgangssignal des Sicherheitsabf rage-Mittels (59) eine Rol- 
len-Signatur flir den Nutzer nicht einsehbar zuteilbar ist, 

30 die mehreren Nutzen zuteilbar ist, und wobei durch das Signa- 
tur-Tool (51) Zugriff e auf elektronische Daten unter Angabe 
der Nutzer-Signatur und der Rollen-Signatur signierbar sind. 

10. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 

35 dadurch gekennzeichnet, dass durch das 

Sicherheitsabf rage-Mittel (59) biometrische Daten des Nutzers 
ermittelbar sind. 
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11. Datenverarbeitungseinrichtung (50) nach Anspruch 9 oder 
10, 

dadurch gekennzeichnet, dass durch 
das Sicherheitsabf rage-Mittel (59) elektronische und/oder me 
chanische Schliissel auslesbar sind. 

12. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10 
oder 11, 

dadurch gekennzeichnet, dass das Sig- 
natur-Tool (51) Zugriff auf einen Nutzer-Signatur-Speicher 
(61) hat, aus dem in Abhangigkeit von einem Ausgangssignal 
des Sicherheitsabf rage-Mittels (59) die zuzuteilende Nutzer- 
Signatur abfragbar ist. 

13. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10, 
11 oder 12, 

dadurch gekennzeichnet, dass das Sig- 
natur-Tool (51) Zugriff auf einen Rollen-Signatur-Speicher 
(63) hat, aus dem in Abhangigkeit von einem Ausgangssignal 
des Sicherheitsabf rage-Mittels (59) die zuzuteilende Rollen- 
Signatur abfragbar ist. 

14. Datenverarbeitungseinrichtung (50) nach Anspruch 12 oder 
13, 

dadurch gekennzeichnet, dass der Nut- 
zer-Signatur-Speicher (61) und/oder der Rollen-Signatur- 
Speicher (63) von der Datenverarbeitungseinrichtung (50) ent 
fernt angeordnet ist und dass das Signatur-Tool (51) liber ei 
ne Datenf ernverbindung darauf Zugriff hat. 

15. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10, 
11, 12, 13 oder 14, 

dadurch gekennzeichnet, dass sie ein 
medizinischer Arbeitsplatz ist. 
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16* Speichermedium, auf dem Information gespeichert ist, die 
in Wechselwirkung mit einer Datenverarbeitungseinrichtung 
(50) treten kann, urn das Verfahren nach einem der Anspruche 1 
bis 8 auszufuhren. 
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Zusammenf as sung 

Verfahren zum Signieren von Daten 

Die Erfindung betrifft ein Verfahren zum Signieren von 
Zugriffen auf elektronische Daten sowie eine Datenverarbei- 
tungseinrichtung zur Ausfuhrung des Verf ahrens . In einem ers- 
ten Schritt (5) des Verfahrens wird eine Sicherheitsabf rage 
zur Ermittlung der Identitat eines Nutzers durchgef tlhrt * In 
einem zweiten Schritt (11) wird in Abhangigkeit vom Ergebnis 
der Sicherheitsabf rage eine den Nutzer eindeutig identifizie- 
rende Nut zer-Signatur fur den Nutzer nicht einsehbar zuge- 
teit. In einem dritten Schritt (19) wird in Abhangigkeit vom 
Ergebnis der Sicherheitsabf rage eine Rollen-Signatur fur den 
Nutzer nicht einsehbar zugeteilt, die mehreren Nutzern mit 
gemeinsamer Rollenzugehorigkeit parallel zuteilbar ist. In 
einem vierten Schritt (21) werden Zugriffe auf elektronische 
Daten unter Angabe sowohl der Nut zer-Signatur als auch der 
Rollen-Signatur signiert. Durch die mehrfache Signatur ist 
die nachtragliche Rekonstruktion samtlicher Datenzugrif f e un- 
ter Angabe der Nutzers und der Rollenzugehorigkeit des Nut- 
zers zum Zeitpunkt des Datenzugrif fs gewahrleistet . 
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